Преимущества перехода на Windows Server 2008 R2
Даже если в вашей компании уже развёрнута служба каталогов Active Directory на базе Windows Server 2003, то вы можете получить целый ряд преимуществ, перейдя на Windows Server 2008 R2. Windows Server 2008 R2 предоставляет следующие дополнительные возможности:
-
Контроллер домена только для чтения RODC (Read-only Domain Controller). Контроллеры домена хранят учётные записи пользователей, сертификаты и много другой конфиденциальной информации. Если серверы расположены в защищённых ЦОД-ах, то о сохранности данной информации можно быть спокойным, но что делать, если котроллер домена стоит в филиале в общедоступном месте. В данном случае существует вероятность, что сервер украдут злоумышленники и взломают его. А затем используют эти данные для организации атаки на вашу корпоративную сеть, с целью кражи или уничтожения информации. Именно для предотвращения таких случаев в филиалах устанавливают контролеры домена только для чтения (RODC). Во-первых RODC-контроллеры не хранят пароли пользователей, а лишь кэшируют их для ускорения доступа, а во-вторых они используют одностороннюю репликацию, только из центральных серверов в филиал, но не обратно. И даже, если злоумышленники завладеют RODC контроллером домена, то они не получат пароли пользователей и не смогут нанести ущерб основной сети.
-
Восстановление удалённых объектов Active Directory. Почти каждый системный администратор сталкивался с необходимостью восстановить случайно удалённую учётную запись пользователя или целой группы пользователей. В Windows 2003 для этого требовалось восстанавливать службу каталогов из резервной копии, которой зачастую не было, но даже если она и была, то восстановление занимало достаточно много времени. В Windows Server 2008 R2 появилась корзина Active Directory. Теперь при удалении пользователя или компьютера, он попадает в корзину, из которой он может быть восстановлен за пару минут в течение 180 дней с сохранением всех первоначальных атрибутов.
-
Упрощённое управление. В Windows Server 2008 R2 были внесены ряд изменений, значительно сокращающих нагрузку на системных администраторов и облегчающих управление ИТ-инфраструктурой. Например появились такие средства, как: Аудит изменений Active Directory, показывающий, кто, что и когда менял; политики сложности паролей настраеваемые на уровне групп пользователей, ранее это было возможно сделать только на уровне домена; новые средства управления пользователями и компьютерами; шаблоны политик; управление при помощи командной строки PowerShell и т.д.
Управление пользователями
В следующих разделах подробно описаны действия по управлению группами.
Создание новой учетной записи пользователя
-
Нажмите кнопку Пуск и выберите пункт Выполнить.
-
В поле Open введите cmd.
-
В этой команде используются следующие значения:
- Userdn указывает отличительное имя (также известное как DN) объекта пользователя, который необходимо добавить.
- sam_name указывает имя диспетчера учетной записи безопасности (SAM), используемое в качестве уникального имени учетной записи SAM для этого пользователя (например, Linda).
-
Чтобы указать пароль учетной записи пользователя, введите следующую команду, где пароль — это пароль, который будет использоваться для учетной записи пользователя:
Примечание
Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите .
Сброс пароля пользователя
-
Нажмите кнопку Пуск и выберите пункт Выполнить.
-
В поле Open введите cmd.
-
Введите следующую команду:
В этой команде используются следующие значения:
- user_dn указывает имя пользователя, для которого будет сброшен пароль.
- new_password указывает пароль, который заменит текущий пароль пользователя
-
Если требуется потребовать от пользователя изменить этот пароль при следующем процессе логона, введите следующую команду:
Если пароль не назначен, при первой попытки входа (с помощью пустого пароля) отображается следующее сообщение с логотипом:
После изменения пароля пользователем процесс логона продолжается.
При смене пароля учетной записи пользователя необходимо сбросить службы, которые являются аутентификацией с учетной записью пользователя.
Примечание
Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите .
Отключить или включить учетную запись пользователя
-
Нажмите кнопку Пуск и выберите пункт Выполнить.
-
В поле Open введите cmd.
-
Введите следующую команду:
В этой команде используются следующие значения:
- user_dn указывает отличительное имя объекта пользователя, которое должно быть отключено или включено.
- {Да|no} указывает, отключена ли учетная запись пользователя для логотипа (да) или нет (нет).
Примечание
В качестве меры безопасности вместо удаления учетной записи этого пользователя можно отключить учетные записи пользователей, чтобы предотвратить вход конкретного пользователя. Если отключать учетные записи пользователей с общими групповыми членствами, можно использовать отключенные учетные записи в качестве шаблонов учетных записей для упрощения создания учетных записей пользователей.
Удаление учетной записи пользователя
- Нажмите кнопку Пуск и выберите пункт Выполнить.
- В поле Open введите cmd.
- В командной подсказке введите команду, user_dn указывает отличительное имя удаляемого объекта пользователя.
После удаления учетной записи пользователя все разрешения и членство, связанные с этой учетной записью пользователя, будут удалены навсегда. Поскольку идентификатор безопасности (SID) для каждой учетной записи уникален, если вы создаете новую учетную запись пользователя, которая имеет то же имя, что и ранее удаленная учетная запись пользователя, новая учетная запись автоматически не предполагает разрешений и членства ранее удаленной учетной записи. Чтобы повторить удаленную учетную запись пользователя, необходимо вручную повторно создать все разрешения и членство.
Примечание
Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите .
Таблица основных пользовательских атрибутов Active Directory
Attribute \ Атрибут | Англоязычное название | Русскоязычное название | Value \ Значение |
OU (Organizational Unit) \ Подразделение | |||
distinguishedName | Distinguished Name | Отличительное (уникальное) имя | OU=Компания,DC=domain,DC=com |
name | Компания | ||
Group \ Группа | |||
distinguishedName | Distinguished Name | Отличительное (уникальное) имя | CN=Группа,OU=Компания,DC=domain,DC=com |
name | Группа | ||
member | Members | Члены группы (какие пользователи входят в данную группу) | CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com |
User \ Пользователь | |||
DN | Distinguished Name | Отличительное (уникальное) имя | CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com |
DC | Domain Component | Компонент(класс) доменного имени. | DC=domain,DC=com |
OU | Organizational Unit | Подразделение | Компания |
CN | Common Name | Общее имя | Сергей Петрович Иванов |
givenName | First name | Имя | Сергей Петрович |
name | Full name | Полное имя | Сергей Петрович Иванов |
sn (SurName) | Last name | Фамилия | Иванов |
displayName | Display Name | Выводимое имя | Сергей Петрович Иванов |
Электронная почта | mail@domain.com | ||
sAMAccountName | User logon name (pre-Windows 2000) | Имя входа пользователя (пред-Windows 2000) | IvanovSP |
userPrincipalName | User logon name | Имя входа пользователя | IvanovSP@domain.com |
memberOf | Member Of | Член групп (в какую группу входит данный пользователь) | CN=Группа,OU=Компания,DC=domain,DC=com |
Атрибут userAccountControl
Иногда надо понять включена или отключена учетная запись в AD. Или что еще с ней вообще происходит. За это отвечает атрибут userAccountControl, который является суммой нескольких свойств атрибутов. При этом, значение 512 является значением по умолчанию при всех снятых флагах на вкладке «Учетная запись» и каждый дополнительный параметр прибавляется к нему. Например, значения атрибута userAccountControl для наиболее распространенных случаев: — Включена (Enabled) — Отключена (Disabled) — Включена, срок действия пароля не ограничен (Enabled, password never expires) — Отключена, срок действия пароля не ограничен (Disabled, password never expires)
Список основных значений атрибутов userAccountControl:
HEX | DEC | Описание |
0x00000002 | 2 | Учетная запись отключена |
0x00000010 | 16 | Учетная запись заблокирована |
0x00000020 | 32 | Пароль не требуется |
0x00000040 | 64 | Запретить смену пароля пользователем |
0x00000080 | 128 | Хранить пароль, используя обратимое шифрование |
0x00000200 | 512 | Учетная запись по умолчанию. Представляет собой типичного пользователя |
0x00010000 | 65536 | Срок действия пароля не ограничен |
0x00040000 | 262144 | Для интерактивного входа в сеть нужна смарт-карта |
0x00400000 | 4194304 | Без предварительной проверки подлинности Kerberos |
0x00800000 | 8388608 | Пароль пользователя истек |
Использовал следующий материал для написания функции:
- Пост № 19. FirePyres 43 13.03.19 09:09
- Работа с Active Directory из 1С
- Примеры запросов
- Интеграция 1С и Active Directory
- Пост № 5. 3762515 03.10.13 11:34
- Основные атрибуты Active Directory
Приложил обработку, но в основном она состоит из одной функции. Тестирование произведено на версии платформы 8.3.14.1976. Но к платформе код не имеет отношения. Версия конфигурации тоже неважна, работает на любой.
Установка MSP канала¶
При создании системы должны быть указаны верификационные параметры всех MSP, встречающихся в сети,
так же они должны быть включены в genesis-блок системного канала.
Напоминаем, что верификационные параметры MSP состоят из MSP-идентификатора, root of trust сертификатов,
промежуточных CA и сертификатов администраторов, OU-спецификации и CRLs.
Genesis-блок системного канала передается orderer’ам в фазу их установки
и позволяет им аутентифицировать запрос по созданию канала. Orderer’ы
отклонят создание genesis-блока системного канала, если он содержит две MSP
с одним и тем же идентификатором. Тогда инициализация ноды прервется.
Для несистемных каналов (application channel, прикладных каналов), в genesis-блоке канала должны присутствовать верификационные компоненты только тех MSP, которые управляют каналом.
Обратите внимание, что проверка корректности конфигурации MSP — это обязанность приложения. Проверку надо сделать до
того, как предлагать пирам присоединяться к каналу
При настройке канала с помощью можно настроить и MSP канала, поместив
верификационные параметры MSP в директорию и указав путь к ним в соответствующей секции
.
Перенастройка MSP канала, включая объявления
certificate revocation lists, связанных с CAs данного MSP, достигается через создание объекта
Делегирование администрирования подразделений учетных записей
Делегируйте структуру подразделений учетных записей администраторам данных, если им нужно создавать и изменять объекты пользователей, групп и компьютеров. Структура подразделения учетной записи — это поддерево подразделений для каждого типа учетной записи, который должен управляться независимо. Например, владелец подразделения может делегировать конкретное управление различным администраторам данных для дочерних подразделений в подразделении учетных записей пользователей, компьютеров, групп и учетных записей служб.
На следующем рисунке показан один пример структуры подразделения учетной записи.
В следующей таблице перечислены и описаны возможные дочерние подразделения, которые можно создать в структуре подразделения учетной записи.
OU | Назначение |
---|---|
Пользователи | Содержит учетные записи пользователей для неадминистративного персонала. |
Учетные записи службы | Некоторые службы, которым требуется доступ к сетевым ресурсам, выполняются от имени учетных записей пользователей. Это подразделение создается для разделения учетных записей пользователей службы из учетных записей пользователей, содержащихся в подразделении «Пользователи». Кроме того, размещение различных типов учетных записей пользователей в отдельных подразделениях позволяет управлять ими в соответствии с определенными административными требованиями. |
Компьютеры | Содержит учетные записи для компьютеров, отличных от контроллеров домена. |
Группы | Содержит группы всех типов, за исключением административных групп, которые управляются отдельно. |
Администраторы | Содержит учетные записи пользователей и групп для администраторов данных в структуре подразделения учетной записи, что позволяет управлять ими отдельно от обычных пользователей. Включите аудит для этого подразделения, чтобы отслеживать изменения пользователей и групп с правами администратора. |
На следующем рисунке показан один из примеров административной группы структуры подразделения учетной записи.
Группы, управляющие дочерними подразделениями, получают полный доступ только к определенному классу объектов, за управление которыми они отвечают.
Типы групп, которые используются для делегирования управления в структуре подразделений, основаны на расположении учетных записей относительно структуры подразделений, к которой осуществляется управление. Если учетные записи администраторов и структура подразделений находятся в пределах одного домена, группы, которые вы создаете для делегирования, должны быть глобальными группами. Если в Организации есть отдел, который управляет собственными учетными записями пользователей и существует в нескольких географических регионах, у вас может быть группа администраторов данных, ответственных за управление подразделениями учетных записей в нескольких доменах. Если учетные записи администраторов данных находятся в одном домене и структуры подразделений находятся в нескольких доменах, которым необходимо делегировать управление, сделайте эти административные учетные записи членами глобальных групп и делегируйте управление структурами подразделений в каждом домене с этими глобальными группами. Если учетные записи администраторов данных, которым делегируется Управление структурой подразделений, приходят из нескольких доменов, необходимо использовать универсальную группу. Универсальные группы могут содержать пользователей из разных доменов, поэтому они могут использоваться для делегирования управления в нескольких доменах.
Настройка контроллера домена Windows Server
Запустите «Мастер настройки доменных служб Active Directory», для чего нажмите на иконку «Уведомления» в диспетчере сервера, затем нажмите «Повысить роль этого сервера до уровня контроллера домена».
Выберите пункт «Добавить новый лес», затем введите имя домена в поле «Имя корневого домена». Домены в сети Windows имеют аналогичные названия с доменами в интернете. Я ввел имя домена buzov.com. Нажимаем «Далее».
На этом шаге можно изменить совместимость режима работы леса и корневого домена. Оставьте настройки по умолчанию. Задайте пароль для DSRM (Directory Service Restore Mode – режим восстановления службы каталога) и нажмите «Далее».
Затем нажимайте «Далее» несколько раз до процесса установки.
Когда контроллер домена установиться компьютер будет перезагружен.
Архитектура центра администрирования Active Directory
Центр администрирования Active Directory исполняемых файлов, DLL
Модуль и базовая архитектура Центра администрирования Active Directory с появлением новой корзины Active Directory, детальной политики паролей и средства просмотра журнала не изменились,
- Microsoft.ActiveDirectory.Management.UI.dll
- Microsoft.ActiveDirectory.Management.UI.resources.dll
- Microsoft.ActiveDirectory.Management.dll
- Microsoft.ActiveDirectory.Management.resources.dll
- ActiveDirectoryPowerShellResources.dll
Базовый Windows PowerShell и слой операций для новой корзины представлены ниже:
How to Create an OU
- Open the Active Directory Users and Computers console
- In the console tree, locate and right-click the appropriate domain, click New, then click Organizational Unit from the shortcut menu.
- In the New Organizational Unit dialog box, enter a unique name for the OU in the Name box.
- Click OK.
- Right click the new OU and select Properties from the shortcut menu.
- When the OU’s Properties dialog box opens, enter a description for the OU on the General tab.
- Click the Managed by tab to specify an owner for the OU.
- Click the Change button and choose the desired user account from the Users and Groups list box.
- Click the Group Policy tab.
- Click the New button to create a new GPO for the OU.
- Enter a name for the GPO.
- Configure all appropriate GPO settings for the OU with the remainder of the available buttons on the tab.